IT之家12月21日消息，世界最大的开源社区GitHub提供了名为“Star（星标）”的功能，用户可以为仓库或话题打上星形标记。通过打星，用户可以方便地进行后续搜索，而拥有较多星标的仓库更容易显示为“热门仓库”。

然而据外媒CyberInsider本周四报道，美国卡内基梅隆大学和北卡罗来纳州立大学的研究表明，GitHub上存在多达450万个人为增加的假星标，大多被加在含有恶意软件的仓库上。

GitHub的星标是判断仓库流行度和质量的重要标志，但一些用户正在通过付费服务“刷”仓库星标的数量。据研究显示，这类服务的收费为每个星标0.1美元（IT之家备注：当前约0.73元人民币），不同的虚增服务在“每颗星的价格”“最低订单量”和“星标授予时间”等方面各有不同。

看似获得大量星标的仓库，可能会误导开发者和组织认为它们是值得信赖的项目，即便这些仓库的质量较差，甚至可能含有恶意代码，缺乏有效的社区支持。

很多这样的虚增星标的仓库伪装成游戏作弊工具或虚拟货币机器人相关工具，实际上却含有经过加密混淆的恶意软件，能够入侵系统或窃取数据。

研究团队分析了数十亿条GitHub活动数据，并开发了名为“StarScout”的工具，用于检测这些虚增星标的仓库。通过分析从2019年到2024年的数据，研究人员发现15835个仓库存在虚增星标的情况。尽管恶意仓库的星标在GitHub删除虚假账户后被移除，但这种误导性影响已经足够严重。

2024年以来，虚增星标的现象不断加剧。到7月，超过50个星标的仓库中，约有16%涉及虚增星标行为。更严重的是，超过70%这些虚增星标的仓库涉及钓鱼诈骗或伪装恶意软件，直接威胁到软件供应链的安全。

IT之家附研究有关论文地址：点此前往